Yaakov's Group | Ciberseguridad

Defensa Contra la Actividad Cibernética Maliciosa que se Origina en Tor

Este aviso utiliza las tácticas, técnicas y conocimientos comunes adversos de MITRE (ATT & CK®) y el marco Pre-ATT & CK. Consulte los marcos ATT & CK para empresas y Pre-ATT & CK para conocer las técnicas de actores de amenazas a las que se hace referencia.

Resumen

Este aviso, escrito por la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA) con contribuciones de la Oficina Federal de Investigaciones (FBI), destaca los riesgos asociados con Tor, junto con detalles técnicos y recomendaciones para la mitigación. Los actores de amenazas cibernéticas pueden usar el software Tor y la infraestructura de red para fines de anonimato y ofuscación para realizar clandestinamente operaciones cibernéticas maliciosas. [1], [2], [3]

Tor (también conocido como The Onion Router) es un software que permite a los usuarios navegar por la web de forma anónima encriptando y enrutando solicitudes a través de múltiples capas de retransmisión o nodos. Este software es mantenido por Tor Project, una organización sin fines de lucro que proporciona herramientas de anonimato y anticoncenso en Internet. Si bien Tor se puede utilizar para promover la democracia y el uso gratuito y anónimo de Internet, también proporciona una vía para que los actores maliciosos oculten su actividad porque la identidad y el punto de origen no se pueden determinar para un usuario del software Tor. Al usar el Protocolo de enrutamiento de cebolla, el software Tor ofusca la identidad de un usuario de cualquiera que busque monitorear la actividad en línea (por ejemplo, estados nacionales, organizaciones de vigilancia, herramientas de seguridad de la información). Esto es posible porque la actividad en línea de alguien que usa el software Tor parece originarse en la dirección del Protocolo de Internet (IP) de un nodo de salida Tor, en oposición a la dirección IP de la computadora del usuario.

CISA y el FBI recomiendan que las organizaciones evalúen su riesgo individual de compromiso a través de Tor y tomen las mitigaciones apropiadas para bloquear o monitorear de cerca el tráfico entrante y saliente de los nodos Tor conocidos.

Evaluación de Riesgo

Los ciber actores maliciosos usan Tor para enmascarar su identidad cuando se involucran en actividades cibernéticas maliciosas que afectan la confidencialidad, integridad y disponibilidad de los sistemas de información y datos de una organización. Entre los ejemplos de esta actividad se incluyen el reconocimiento, la penetración de sistemas, la filtración y manipulación de datos y la desconexión de servicios mediante ataques de denegación de servicio y entrega de cargas de ransomware. Los actores de amenazas han transmitido sus comunicaciones de servidor de comando y control (C2), utilizadas para controlar sistemas infectados con malware, a través de Tor, ocultando la identidad (ubicación y propiedad) de esos servidores.

El uso de Tor en este contexto permite que los actores de la amenaza permanezcan en el anonimato, lo que dificulta que los defensores de la red y las autoridades realicen la recuperación del sistema y respondan a los ataques cibernéticos. Las organizaciones que no toman medidas para bloquear o monitorear el tráfico de Tor están en mayor riesgo de ser atacadas y explotadas por actores de amenazas que ocultan su identidad e intenciones al usar Tor.

El riesgo de ser el objetivo de una actividad maliciosa enrutada a través de Tor es exclusivo de cada organización. Una organización debe determinar su riesgo individual evaluando la probabilidad de que un actor de amenazas apunte a sus sistemas o datos y la probabilidad del éxito del actor de amenazas dadas las mitigaciones y controles actuales. Esta evaluación debe considerar razones legítimas por las cuales los usuarios no maliciosos pueden preferir o necesitar usar Tor para acceder a la red. Las organizaciones deben evaluar sus decisiones de mitigación contra las amenazas a su organización de las amenazas persistentes avanzadas (APT), los atacantes moderadamente sofisticados y los piratas informáticos individuales poco cualificados, todos los cuales han aprovechado Tor para llevar a cabo el reconocimiento y los ataques en el pasado.

Detalles Técnicos

Tor ofusca el origen y el destino de una solicitud web. Esto permite a los usuarios ocultar información sobre sus actividades en la web, como su ubicación y uso de la red, de los destinatarios de ese tráfico, así como de terceros que pueden realizar vigilancia de la red o análisis de tráfico. Tor encripta el tráfico de un usuario y enruta el tráfico a través de al menos tres nodos Tor, o retransmisores, para que la dirección IP y la solicitud de inicio del usuario se enmascaren de los observadores de la red y del tráfico durante el tránsito. Una vez que la solicitud llega a su destino previsto, sale de Tor a través de un nodo de salida público de Tor. Cualquier persona que realice monitoreo o análisis solo verá el tráfico proveniente del nodo de salida Tor y no podrá determinar la dirección IP original de la solicitud.

Tácticas y Técnicas Maliciosas Ayudadas por Tor

Los actores de amenazas usan Tor para crear una capa de anonimato para ocultar la actividad maliciosa en diferentes etapas del compromiso de la red. Sus tácticas y técnicas, ilustradas en

Pre-ATT & CK

  • Selección de objetivo [TA0014]
  • Recopilación de información técnica [TA0015]
  • Realizar escaneo activo [T1254]
  • Realizar escaneo pasivo [T1253]
  • Determinar el dominio y el espacio de direcciones IP [T1250]
  • Identificar las capacidades defensivas de seguridad [T1263]
  • Identificación de debilidad técnica [TA0018]

ATT & CK

  • Acceso inicial [TA0001]
  • Explotar aplicaciones de orientación pública [T1190]
  • Comando y control [TA0011]
  • Puerto de uso común [T1043]
  • Proxy de conexión [T1090]
  • Protocolo de control y comando personalizado [T1094]
  • Protocolo criptográfico personalizado [T1024]
  • Proxy de salto múltiple [T1188]
  • Cifrado multicapa [T1079]
  • Protocolo de capa de aplicación estándar [T1071]
  • Exfiltración [TA0010]
  • Impacto [TA0040]
  • Datos cifrados para impacto [T1486]
  • Endpoint denegación de servicio [T1499]
  • Denegación de servicio de red [T1498]

Indicadores Clave de Actividad Maliciosa a Través de Tor

Si bien Tor ofusca la identificación de un usuario a través de herramientas de seguridad estándar, los defensores de la red pueden aprovechar varios registros de dispositivos de red, punto final y seguridad para detectar el uso de Tor, incluida la actividad potencialmente maliciosa que involucra a Tor, a través de análisis basados ​​en indicadores o comportamientos.

Mediante un enfoque basado en indicadores, los defensores de la red pueden aprovechar la información de seguridad y las herramientas de gestión de eventos (SIEM) y otras plataformas de análisis de registros para marcar actividades sospechosas que involucran las direcciones IP de los nodos de salida de Tor. La lista de direcciones IP del nodo de salida de Tor se mantiene activamente mediante el servicio de lista de salida del proyecto Tor, que ofrece interfaces de consulta en tiempo real y de descarga masiva (consulte https://blog.torproject.org/changes-tor-exit-list- Servicio). Las organizaciones que prefieren la descarga masiva pueden considerar soluciones automatizadas de ingesta de datos, dada la naturaleza altamente dinámica de la lista de salida de Tor, que se actualiza cada hora. Los defensores de la red deben inspeccionar de cerca la evidencia de transacciones sustanciales con nodos de salida Tor, revelados en el flujo de red, captura de paquetes (PCAP) y registros del servidor web, para inferir el contexto de la actividad y discernir cualquier comportamiento malicioso que pueda representar reconocimiento, explotación, C2 o exfiltración de datos.

Utilizando un enfoque basado en el comportamiento, los defensores de la red pueden descubrir actividades sospechosas de Tor buscando los patrones operativos del software y los protocolos del cliente Tor. Los puertos del Protocolo de control de transmisión (TCP) y el Protocolo de datagramas de usuario (UDP) comúnmente afiliados a Tor incluyen 9001, 9030, 9040, 9050, 9051 y 9150. Consultas del Servicio de nombres de dominio (DNS) altamente estructuradas para los nombres de dominio que terminan con el sufijo torprojecto.org es otro comportamiento exhibido por los hosts que ejecutan el software Tor. Además, las consultas DNS para dominios que terminan en .onion es un comportamiento exhibido por clientes de Tor mal configurados, que pueden estar intentando transmitir a servicios maliciosos ocultos de Tor.

Las organizaciones deben investigar y habilitar las capacidades de detección y mitigación de Tor preexistentes dentro de sus soluciones de seguridad de red y punto final existentes, ya que a menudo emplean una lógica de detección efectiva. Las soluciones tales como firewalls de aplicaciones web, firewalls de enrutadores y sistemas de detección de intrusiones de host / red ya pueden proporcionar cierto nivel de capacidad de detección Tor.

Mitigaciones

Las organizaciones pueden implementar mitigaciones de diversa complejidad y restricción para reducir el riesgo que representan los actores de amenazas que usan Tor para realizar actividades maliciosas. Sin embargo, las acciones de mitigación también pueden afectar el acceso de usuarios legítimos que aprovechan Tor para proteger su privacidad cuando visitan los activos de Internet de una organización. Las organizaciones deben evaluar su riesgo probable, los recursos disponibles y el impacto para los usuarios legítimos y no maliciosos de Tor antes de aplicar acciones de mitigación.

  • Enfoque más restrictivo: Bloquee todo el tráfico web hacia y desde los nodos públicos de entrada y salida de Tor. Las organizaciones que deseen adoptar un enfoque conservador o menos intensivo en recursos para reducir el riesgo que representa el uso de Tor por parte de los actores de amenazas deben implementar herramientas que restrinjan todo el tráfico, malicioso y legítimo, hacia y desde los nodos de entrada y salida de Tor. Es de destacar que el bloqueo de los nodos Tor conocidos no elimina por completo la amenaza de actores maliciosos que usan Tor para el anonimato, ya que los puntos de acceso a la red Tor adicionales, o puentes, no se enumeran públicamente. Consulte la tabla 1 para conocer las prácticas de mitigación más restrictivas.

Tabla 1: Prácticas de mitigación más restrictivas.

Tipo Nivel de Esfuerzo Implementación técnica Impacto
Actividad de base Bajo / medio Requerir que la organización mantenga listas actualizadas de direcciones IP de nodo de entrada y salida Tor conocidas.

Las listas públicas están disponibles en Internet, pero la frecuencia de las actualizaciones y la precisión varían según la fuente. El Proyecto Tor mantiene una lista autorizada.

Conocimiento actualizado de los nodos Tor conocidos para permitir el bloqueo
Políticas Externas Medio Establezca políticas externas para bloquear el tráfico entrante de los nodos de salida Tor conocidos para evitar el reconocimiento malicioso y los intentos de explotación.

Las herramientas de seguridad de red (por ejemplo, firewalls de próxima generación, servidores proxy) pueden tener opciones de configuración para aplicar estas políticas.

Bloquee el tráfico entrante de red, tanto malicioso como legítimo, para que no llegue al dominio de la organización desde los nodos de salida Tor conocidos
Políticas Internas Medio Establezca políticas internas para bloquear el tráfico saliente a los nodos de entrada Tor para evitar la filtración de datos y el tráfico C2.

Las herramientas de seguridad de red (por ejemplo, firewalls de próxima generación, servidores proxy) pueden tener opciones de configuración para aplicar estas políticas.

Bloquee el tráfico de red saliente, tanto malicioso como legítimo, para que no abandone el dominio de la organización en nodos de entrada Tor conocidos

 

  • Enfoque menos restrictivo: monitorización, análisis y bloqueo personalizados del tráfico web hacia y desde los nodos públicos de entrada y salida de Tor. Hay casos en los que los usuarios legítimos pueden aprovechar Tor para navegar por Internet y otros fines no maliciosos. Por ejemplo, los votantes desplegados militares u otros votantes en el extranjero pueden usar Tor como parte del proceso de votación para escapar de la supervisión por parte de gobiernos extranjeros. Dichos usuarios pueden usar Tor cuando visitan sitios web relacionados con las elecciones, para verificar el estado de registro de votantes o para marcar y luego emitir boletas en ausencia por correo electrónico o portal web. Del mismo modo, algunos usuarios pueden usar Tor para evitar el seguimiento por parte de los anunciantes cuando navegan por Internet. Las organizaciones que no desean bloquear el tráfico legítimo hacia / desde los nodos de entrada / salida de Tor deberían considerar la adopción de prácticas que permitan la supervisión de la red y el análisis del tráfico para el tráfico de esos nodos, y luego considerar el bloqueo apropiado. Este enfoque puede requerir muchos recursos, pero permitirá una mayor flexibilidad y adaptación defensiva.

Tabla 2: Prácticas de mitigación menos restrictivas

Tipo Nivel de Esfuerzo Implementación técnica Impacto
Actividad de base Bajo / medio Solicite a la organización que mantenga listas actualizadas de direcciones IP de nodo de entrada y salida Tor conocidas.

El Proyecto Tor mantiene una lista autorizada.

Conocimiento actualizado de los nodos Tor conocidos para habilitar la línea de base / permitir el bloqueo
Políticas Externas Bajo / medio Integre la seguridad de la red y las herramientas SIEM que correlacionan los registros. Mejor comprensión del uso legítimo / esperado de Tor para el tráfico entrante / saliente
Políticas Internas Medio Analizar el tráfico para determinar patrones normales de comportamiento; usos legítimos frente a anómalos de Tor.

Línea de base del tráfico Tor existente hacia / desde nodos de entrada / salida conocidos durante un período de meses.

Inspeccionar el tráfico para comprender el tráfico legítimo; establezca el nivel de tolerancia al riesgo de la organización para bloquear o permitir el tráfico Tor hacia / desde servicios específicos.

Comprensión básica de los usos legítimos versus potencialmente anómalos de Tor.
Políticas internas / externas Medio/ Alto Instituya firmas / reglas de comportamiento para bloquear actividades inesperadas / potencialmente maliciosas y permitir actividades legítimas.

Examine la actividad entre cualquier puerto efímero y Tor IP; esto podría ser la filtración de datos maliciosos o el tráfico C2 (excepto donde se espera el uso de nodos de entrada de Tor salientes).

Supervise el uso de los puertos TCP / UDP 9001, 9030, 9040, 9050, 9051, 9150 y los puertos TCP 443 * y 8443.

Supervise y / o bloquee las conexiones entrantes desde los nodos de salida de Tor a las direcciones IP y los puertos para los que no se esperan conexiones externas (es decir, que no sean puertas de enlace VPN, puertos de correo, puertos web).

Los puertos asociados son aplicables para el cliente -> monitoreo y análisis de tráfico de protección / retransmisión, pero no para el nodo de salida -> un destino de red.

Supervise y examine los flujos de datos grandes entre redes y direcciones IP Tor, independientemente del puerto, ya que esto podría ser una filtración de datos no autorizada.

Dado que el puerto 443 es el puerto más común para el tráfico web seguro, el monitoreo genérico 443 puede producir un alto volumen de falsos positivos; Las herramientas de tráfico de red se pueden utilizar para ayudar en este análisis.

Se permite el tráfico legítimo a través de los nodos de entrada / salida de Tor y se bloquea la actividad inesperada / potencialmente maliciosa a través de los nodos de entrada / salida de Tor
  • Enfoque combinado: bloquee todo el tráfico de Tor a algunos recursos, permita y monitoree otros. Dados los diversos usos lícitos e ilícitos de Tor, un enfoque combinado puede ser una estrategia adecuada de mitigación de riesgos para algunas organizaciones (es decir, permitir intencionalmente el tráfico hacia / desde Tor solo para sitios web y servicios específicos donde se puede esperar un uso legítimo y bloquear todo el tráfico de Tor hacia / desde procesos / servicios no exceptuados). Esto puede requerir una reevaluación continua ya que una entidad considera su propia tolerancia al riesgo asociada con diferentes aplicaciones. El nivel de esfuerzo para implementar este enfoque es alto.

Consideraciones Para Bloquear el Uso de Tor

Los actores de amenazas sofisticados pueden aprovechar tecnologías de anonimato adicionales, como redes privadas virtuales (VPN) y funciones configurables dentro de Tor, como puentes Tor y transportes enchufables, para evitar la detección y el bloqueo. Bloquear el uso de nodos Tor conocidos puede no mitigar eficazmente todos los peligros, pero puede proteger contra actores menos sofisticados. Por ejemplo, bloquear el tráfico saliente a los nodos de entrada de Tor conocidos podría tener un impacto apreciable al bloquear el malware menos sofisticado para que se transmita con éxito a máquinas ocultas C2 ofuscadas por Tor. En última instancia, cada entidad debe considerar sus propios umbrales internos y tolerancia al riesgo al determinar un enfoque de mitigación de riesgos asociado con Tor.

 

Información del Contacto

Para denunciar actividades sospechosas o delictivas relacionadas con la información que se encuentra en este Aviso conjunto de seguridad cibernética, comuníquese con su oficina local del FBI en www.fbi.gov/contact-us/field, o con el Cyber ​​Watch (CyWatch) 24/7 del FBI al (855) 292-3937 o por correo electrónico a CyWatch@fbi.gov. Cuando esté disponible, incluya la siguiente información sobre el incidente: fecha, hora y ubicación del incidente; tipo de actividad; cantidad de personas afectadas; tipo de equipo utilizado para la actividad; el nombre de la empresa u organización que envía; y un punto de contacto designado. Para solicitar recursos de respuesta a incidentes o asistencia técnica relacionada con estas amenazas, comuníquese con CISA en CISAServiceDesk@cisa.dhs.gov.

Descargo de Responsabilidad

Este documento está marcado TLP: BLANCO. La divulgación no es limitada. Las fuentes pueden usar TLP: BLANCO cuando la información conlleva un riesgo mínimo o nulo de mal uso, de acuerdo con las normas y procedimientos aplicables para la divulgación pública. Sujeto a las normas estándar de derechos de autor, TLP: la información BLANCA se puede distribuir sin restricciones. Para obtener más información sobre el Protocolo de semáforos, consulte http://www.us-cert.gov/tlp/.

Referencias

[1] CISA Alert: Continued Threat Actor Exploitation Post Pulse Secure VPN Patch…

[2] CISA Analysis Report: Enhanced Analysis of GRIZZLY STEPPE Activity. Februar…

[3] FBI Press Release: More Than 400 .Onion Addresses, Including Dozens of ‘Dar…

Revisión

1 de julio de 2020: Versión Inicial

Fuente:

CISA